Ausgehende Netzwerk- und FQDN-Regeln für Azure Kubernetes Service-Cluster (AKS)

In diesem Artikel werden die erforderlichen Details zum Schutz des ausgehenden Datenverkehrs von Azure Kubernetes Service (AKS) behandelt. Er enthält die Clusteranforderungen für eine grundlegende AKS-Bereitstellung sowie zusätzliche Anforderungen für optionale Add-Ons und Features. Diese Informationen sind auf jede Einschränkungsmethode oder Appliance für ausgehenden Datenverkehr anwendbar.

Eine Beispielkonfiguration mit Azure Firewall finden Sie unter Steuern des ausgehenden Datenverkehrs mithilfe von Azure Firewall in AKS.

Hintergrund

AKS-Cluster werden in einem virtuellen Netzwerk bereitgestellt. Dieses Netzwerk kann von Ihnen angepasst und vorkonfiguriert oder von AKS erstellt und verwaltet werden. In beiden Fällen weist der Cluster ausgehende Abhängigkeiten von Diensten außerhalb des virtuellen Netzwerks auf.

Zu Verwaltungs- und Betriebszwecken müssen Knoten in einem AKS-Cluster auf bestimmte Ports und vollqualifizierte Domänennamen (FQDNs) zugreifen. Diese Endpunkte sind erforderlich, damit die Knoten mit dem API-Server kommunizieren oder Kernkomponenten des Kubernetes-Clusters sowie Sicherheitsupdates für Knoten heruntergeladen und installiert werden können. So müssen von dem Cluster beispielsweise Containerimages des Basissystems aus der Microsoft-Containerregistrierung (MCR) abgerufen werden.

Die AKS-Abhängigkeiten für ausgehenden Datenverkehr werden fast ausschließlich mit FQDNs definiert, hinter denen sich keine statischen Adressen befinden. Das Fehlen statischer Adressen bedeutet, dass Sie keine Netzwerksicherheitsgruppen (NSGs) verwenden können, um den ausgehenden Datenverkehr eines AKS-Clusters zu sperren.

Standardmäßig haben AKS-Cluster uneingeschränkten ausgehenden Internetzugriff. Diese Ebene des Netzwerkzugriffs ermöglicht, dass ausgeführte Knoten und Dienste nach Bedarf auf externe Ressourcen zugreifen können. Wenn Sie den ausgehenden Datenverkehr einschränken möchten, muss eine begrenzte Anzahl von Ports und Adressen zugänglich sein, um fehlerfreie Clusterwartungsaufgaben verwalten zu können. Die einfachste Lösung zum Schützen ausgehender Adressen besteht in der Verwendung eines Firewallgeräts, das den ausgehenden Datenverkehr auf der Grundlage von Domänennamen kontrolliert. Azure Firewall kann ausgehenden HTTP- und HTTPS-Datenverkehr basierend auf den FQDN des Ziels beschränken. Darüber hinaus können Sie Ihre bevorzugten Firewall- und Sicherheitsregeln konfigurieren, um diese erforderlichen Ports und Adressen zuzulassen.

Wichtig

In diesem Dokument wird lediglich erläutert, wie der ausgehende Datenverkehr aus dem AKS-Subnetz gesperrt wird. Für AKS gelten standardmäßig keine Anforderungen für eingehenden Datenverkehr. Das Blockieren von internem Datenverkehr im Subnetz mithilfe von Netzwerksicherheitsgruppen (NSGs) und Firewalls wird nicht unterstützt. Informationen zum Steuern und Blockieren des Datenverkehrs innerhalb des Clusters finden Sie unter Sicherer Datenverkehr zwischen Pods und Netzwerkrichtlinien in in AKS.

Erforderliche Netzwerkregeln für ausgehenden Datenverkehr und FQDNs für AKS-Cluster

Die folgenden Netzwerk- und FQDN-/Anwendungsregeln sind für einen AKS-Cluster erforderlich. Sie können diese verwenden, wenn Sie eine andere Lösung als Azure Firewall konfigurieren möchten.

  • IP-Adressabhängigkeiten gelten für Nicht-HTTP/S-Datenverkehr (TCP- und UDP-Datenverkehr).
  • FQDN-HTTP/HTTPS-Endpunkte können in Ihrem Firewallgerät bereitgestellt werden.
  • HTTP/HTTPS-Platzhalterendpunkte sind Abhängigkeiten, die sich je nach AKS-Cluster unterscheiden können (basierend auf einer Reihe von Qualifizierern).
  • AKS verwendet einen Zugangscontroller, um den FQDN als Umgebungsvariable in alle Bereitstellungen unter kube-system und gatekeeper-system zu injizieren. Dadurch wird sichergestellt, dass die gesamte Systemkommunikation zwischen Knoten und API-Server den FQDN des API-Servers und nicht die IP des API-Servers verwendet. Sie können dasselbe Verhalten bei Ihren eigenen Pods in jedem beliebigen Namespace erreichen, indem Sie die Podspezifikation mit einer Anmerkung namens kubernetes.azure.com/set-kube-service-host-fqdn kommentieren. Wenn diese Anmerkung vorhanden ist, legt AKS die Variable KUBERNETES_SERVICE_HOST auf den Domänennamen des API-Servers fest, nicht auf die clusterinterne Dienst-IP. Dies ist in Fällen hilfreich, in denen der ausgehende Datenverkehr aus dem Cluster über eine Layer-7-Firewall gesendet wird.
  • Wenn Sie über eine App oder Lösung verfügen, die mit dem API-Server kommunizieren muss, müssen Sie entweder eine zusätzliche Netzwerkregel hinzufügen, um die TCP-Kommunikation mit Port 443 der IP-Adresse Ihres API-Servers zulassen, ODER Sie müssen kubernetes.azure.com/set-kube-service-host-fqdn in Ihren Podspezifikationen festlegen, wenn Sie über eine Layer-7-Firewall verfügen, die so konfiguriert ist, dass Datenverkehr zum Domänennamen des API-Servers zugelassen ist.
  • In seltenen Fällen kann sich die IP-Adresse Ihres API-Servers aufgrund eines Wartungsvorgang ändern. Geplante Wartungsvorgänge, bei denen sich die IP-Adresse des API-Servers ändern kann, werden immer vorab kommuniziert.
  • Unter bestimmten Umständen kann es vorkommen, dass Datenverkehr zu „md-*.blob.storage.azure.net“ erforderlich ist. Diese Abhängigkeit besteht aufgrund einiger interner Mechanismen von Azure Managed Disks. Sie sollten auch die Verwendung des Diensttags für Speicher in Betracht ziehen.
  • Möglicherweise bemerken Sie Datenverkehr zum Endpunkt „umsa*.blob.core.windows.net“. Dieser Endpunkt wird verwendet, um Manifeste für Azure Linux VM Agent & Extensions zu speichern, und wird regelmäßig überprüft, um neue Versionen herunterzuladen.

Für Azure Global benötigte Netzwerkregeln

Zielendpunkt Protokoll Port Zweck
*:1194
Oder
ServiceTag - AzureCloud.<Region>:1194
Oder
Regionale CIDRs - RegionCIDRs:1194
Oder
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1.194 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene Dies ist nicht für private Cluster oder für Cluster mit aktivierter konnectivity-agent-Option erforderlich.
*:9000
Oder
ServiceTag - AzureCloud.<Region>:9000
Oder
Regionale CIDRs - RegionCIDRs:9000
Oder
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene Dies ist nicht für private Cluster oder für Cluster mit aktivierter konnectivity-agent-Option erforderlich.
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) UDP 123 Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten Dies ist für Knoten, die nach März 2021 bereitgestellt wurden, nicht erforderlich.
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet. Dieser Port ist für private Cluster nicht erforderlich.

Für Azure Global benötigte FQDNs/Anwendungsregeln

Ziel-FQDN Port Zweck
*.hcp.<location>.azmk8s.io HTTPS:443 Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde. Dies ist für Cluster mit aktiviertem konnectivity-agent erforderlich. Konnectivity verwendet auch ALPN (Application-Layer Protocol Negotiation) für sie Kommunikation zwischen Agent und Server. Das Blockieren oder erneute Schreiben der ALPN-Erweiterung führt zu einem Fehler. Dies ist für private Cluster nicht erforderlich.
mcr.microsoft.com HTTPS:443 Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge).
*.data.mcr.microsoft.com, mcr-0001.mcr-msedge.net HTTPS:443 Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher.
management.azure.com HTTPS:443 Erforderlich für Kubernetes-Vorgänge für die Azure-API.
login.microsoftonline.com HTTPS:443 Erforderlich für die Microsoft Entra-Authentifizierung.
packages.microsoft.com HTTPS:443 Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI.
acs-mirror.azureedge.net HTTPS:443 Hierbei handelt es sich um die Adresse für das Repository, das zum Herunterladen und Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird.

Erforderliche Netzwerkregeln für Microsoft Azure, betrieben von 21Vianet

Zielendpunkt Protokoll Port Zweck
*:1194
Oder
ServiceTag - AzureCloud.Region:1194
Oder
Regionale CIDRs - RegionCIDRs:1194
Oder
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1.194 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene
*:9000
Oder
ServiceTag - AzureCloud.<Region>:9000
Oder
Regionale CIDRs - RegionCIDRs:9000
Oder
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene
*:22
Oder
ServiceTag - AzureCloud.<Region>:22
Oder
Regionale CIDRs - RegionCIDRs:22
Oder
APIServerPublicIP:22 (only known after cluster creation)
TCP 22 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) UDP 123 Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet.

Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet

Ziel-FQDN Port Zweck
*.hcp.<location>.cx.prod.service.azk8s.cn HTTPS:443 Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde.
*.tun.<location>.cx.prod.service.azk8s.cn HTTPS:443 Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde.
mcr.microsoft.com HTTPS:443 Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge).
.data.mcr.microsoft.com HTTPS:443 Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher.
management.chinacloudapi.cn HTTPS:443 Erforderlich für Kubernetes-Vorgänge für die Azure-API.
login.chinacloudapi.cn HTTPS:443 Erforderlich für die Microsoft Entra-Authentifizierung.
packages.microsoft.com HTTPS:443 Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI.
*.azk8s.cn HTTPS:443 Hierbei handelt es sich um die Adresse für das Repository, das zum Herunterladen und Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird.

Für Azure US Government benötigte Netzwerkregeln

Zielendpunkt Protokoll Port Zweck
*:1194
Oder
ServiceTag - AzureCloud.<Region>:1194
Oder
Regionale CIDRs - RegionCIDRs:1194
Oder
APIServerPublicIP:1194 (only known after cluster creation)
UDP 1.194 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene
*:9000
Oder
ServiceTag - AzureCloud.<Region>:9000
Oder
Regionale CIDRs - RegionCIDRs:9000
Oder
APIServerPublicIP:9000 (only known after cluster creation)
TCP 9000 Getunnelte sichere Kommunikation zwischen den Knoten und der Steuerungsebene
*:123 oder ntp.ubuntu.com:123 (bei Verwendung von Azure Firewall-Netzwerkregeln) UDP 123 Erforderlich für die NTP-Zeitsynchronisierung (Network Time Protocol) auf Linux-Knoten
CustomDNSIP:53 (if using custom DNS servers) UDP 53 Bei Verwendung benutzerdefinierter DNS-Server müssen die Clusterknoten auf diese Server zugreifen können.
APIServerPublicIP:443 (if running pods/deployments that access the API Server) TCP 443 Erforderlich bei Verwendung von Pods/Bereitstellungen, die auf den API-Server zugreifen. Von diesen Pods/Bereitstellungen wird die API-IP-Adresse verwendet.

Für Azure US Government benötigte FQDNs/Anwendungsregeln

Ziel-FQDN Port Zweck
*.hcp.<location>.cx.aks.containerservice.azure.us HTTPS:443 Erforderlich für die Kommunikation mit dem Knoten <-> API-Server. Ersetzen Sie <location> durch die Region, in der Ihr AKS-Cluster bereitgestellt wurde.
mcr.microsoft.com HTTPS:443 Erforderlich für den Zugriff auf Images in Microsoft Container Registry (MCR). Diese Registrierung enthält Images/Diagramme von Erstanbietern (beispielsweise coreDNS usw.). Diese Images sind für die korrekte Erstellung und Funktionsweise des Clusters erforderlich (unter anderem für Skalierungs- und Upgradevorgänge).
*.data.mcr.microsoft.com HTTPS:443 Erforderlich für den auf Azure Content Delivery Network (CDN) basierenden MCR-Speicher.
management.usgovcloudapi.net HTTPS:443 Erforderlich für Kubernetes-Vorgänge für die Azure-API.
login.microsoftonline.us HTTPS:443 Erforderlich für die Microsoft Entra-Authentifizierung.
packages.microsoft.com HTTPS:443 Diese Adresse ist das Microsoft-Paketrepository, das für zwischengespeicherte apt-get-Vorgänge verwendet wird. Beispielpakete sind Moby, PowerShell und Azure CLI.
acs-mirror.azureedge.net HTTPS:443 Diese Adresse ist für das Repository, das zum Installieren erforderlicher Binärdateien wie kubenet und Azure CNI benötigt wird.

Die folgenden vollqualifizierten Domänennamen und Anwendungsregeln sind nicht erforderlich, werden jedoch für AKS-Cluster empfohlen:

Ziel-FQDN Port Zweck
security.ubuntu.com, azure.archive.ubuntu.com, changelogs.ubuntu.com HTTP:80 Über diese Adresse können die Linux-Clusterknoten die erforderlichen Sicherheitspatches und Updates herunterladen.
snapshot.ubuntu.com HTTPS:443 Mit dieser Adresse können die Linux-Clusterknoten die erforderlichen Sicherheitspatches und Updates aus dem Ubuntu-Snapshot-Dienst herunterladen.

Wenn Sie diese FQDNs blockieren/nicht zulassen, erhalten die Knoten nur Betriebssystemupdates, wenn Sie ein Upgrade für Knotenimages oder ein Clusterupgrade durchführen. Beachten Sie, dass Upgrades für Knotenimages auch aktualisierte Pakete enthalten, einschließlich Sicherheitskorrekturen.

GPU-fähige AKS-Cluster, die FQDN-/Anwendungsregeln erforderten

Ziel-FQDN Port Zweck
nvidia.github.io HTTPS:443 Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet.
us.download.nvidia.com HTTPS:443 Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet.
download.docker.com HTTPS:443 Diese Adresse wird für die ordnungsgemäße Treiberinstallation und -ausführung für GPU-basierte Knoten verwendet.

Windows Server-basierte Knotenpools erforderten FQDN-/Anwendungsregeln

Ziel-FQDN Port Zweck
onegetcdn.azureedge.net, go.microsoft.com HTTPS:443 Zum Installieren Windows-bezogener Binärdateien
*.mp.microsoft.com, www.msftconnecttest.com, ctldl.windowsupdate.com HTTP:80 Zum Installieren Windows-bezogener Binärdateien

Wenn Sie diese FQDNs blockieren/nicht zulassen, erhalten die Knoten nur Betriebssystemupdates, wenn Sie ein Upgrade für Knotenimages oder ein Clusterupgrade durchführen. Beachten Sie, dass Upgrades für Knotenimages auch aktualisierte Pakete enthalten, einschließlich Sicherheitskorrekturen.

AKS-Add-Ons und -Integrationen

Microsoft Defender für Container

Benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
login.microsoftonline.com
login.microsoftonline.us (Azure Government)
login.microsoftonline.cn (Azure, betrieben von 21Vianet)
HTTPS:443 Erforderlich für die Active Directory-Authentifizierung
*.ods.opinsights.azure.com
*.ods.opinsights.azure.us (Azure Government)
*.ods.opinsights.azure.cn (Azure, betrieben von 21Vianet)
HTTPS:443 Erforderlich, damit Microsoft Defender sicherheitsrelevante Ereignisse in die Cloud hochlädt
*.oms.opinsights.azure.com
*.oms.opinsights.azure.us (Azure Government)
*.oms.opinsights.azure.cn (Azure, betrieben von 21Vianet)
HTTPS:443 Erforderlich für die Authentifizierung mit LogAnalytics-Arbeitsbereichen

CSI-Geheimnisspeicher

Benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
vault.azure.net HTTPS:443 Erforderlich für Add-On-Pods des CSI-Geheimnisspeichers, um mit dem Azure KeyVault-Server zu kommunizieren.
*.vault.usgovcloudapi.net HTTPS:443 Erforderlich für Add-On-Pods des CSI-Geheimnisspeichers, um mit dem Azure KeyVault-Server in Azure Government zu kommunizieren.

Azure Monitor für Container

Es gibt zwei Optionen, um den Zugriff auf Azure Monitor für Container bereitzustellen:

  • Lassen Sie das Azure Monitor ServiceTag zu.
  • Gewähren Sie Zugriff auf die erforderlichen FQDN-/Anwendungsregeln.

Benötigte Netzwerkregeln

Zielendpunkt Protokoll Port Zweck
ServiceTag - AzureMonitor:443 TCP 443 Dieser Endpunkt dient zum Senden von Metrikdaten und Protokollen an Azure Monitor und Log Analytics.

Benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
dc.services.visualstudio.com HTTPS:443 Dieser Endpunkt wird von Azure Monitor für Container-Agent-Telemetriedaten verwendet.
*.ods.opinsights.azure.com HTTPS:443 Dieser Endpunkt wird von Azure Monitor zur Erfassung von Log Analytics-Daten verwendet.
*.oms.opinsights.azure.com HTTPS:443 Dieser Endpunkt wird von „omsagent“ verwendet. „omsagent“ dient zur Authentifizierung des Log Analytics-Diensts.
*.monitoring.azure.com HTTPS:443 Dieser Endpunkt wird zum Senden von Metrikdaten an Azure Monitor verwendet.
<cluster-region-name>.ingest.monitor.azure.com HTTPS:443 Dieser Endpunkt wird vom verwalteten Azure Monitor-Dienst für Prometheus (Metrikerfassung) verwendet.
<cluster-region-name>.handler.control.monitor.azure.com HTTPS:443 Dieser Endpunkt wird verwendet, um Datensammlungsregeln für einen bestimmten Cluster abzurufen.

Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet

FQDN Port Zweck
dc.services.visualstudio.cn HTTPS:443 Dieser Endpunkt wird von Azure Monitor für Container-Agent-Telemetriedaten verwendet.
*.ods.opinsights.azure.cn HTTPS:443 Dieser Endpunkt wird von Azure Monitor zur Erfassung von Log Analytics-Daten verwendet.
*.oms.opinsights.azure.cn HTTPS:443 Dieser Endpunkt wird von „omsagent“ verwendet. „omsagent“ dient zur Authentifizierung des Log Analytics-Diensts.
global.handler.control.monitor.azure.cn HTTPS:443 Dieser Endpunkt wird von Azure Monitor für den Zugriff auf den Kontrolldienst verwendet.
<cluster-region-name>.handler.control.monitor.azure.cn HTTPS:443 Dieser Endpunkt wird verwendet, um Datensammlungsregeln für einen bestimmten Cluster abzurufen.

Für Azure US Government benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
dc.services.visualstudio.us HTTPS:443 Dieser Endpunkt wird von Azure Monitor für Container-Agent-Telemetriedaten verwendet.
*.ods.opinsights.azure.us HTTPS:443 Dieser Endpunkt wird von Azure Monitor zur Erfassung von Log Analytics-Daten verwendet.
*.oms.opinsights.azure.us HTTPS:443 Dieser Endpunkt wird von „omsagent“ verwendet. „omsagent“ dient zur Authentifizierung des Log Analytics-Diensts.
global.handler.control.monitor.azure.us HTTPS:443 Dieser Endpunkt wird von Azure Monitor für den Zugriff auf den Kontrolldienst verwendet.
<cluster-region-name>.handler.control.monitor.azure.us HTTPS:443 Dieser Endpunkt wird verwendet, um Datensammlungsregeln für einen bestimmten Cluster abzurufen.

Azure Policy

Benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
data.policy.core.windows.net HTTPS:443 Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden.
store.policy.core.windows.net HTTPS:443 Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet.
dc.services.visualstudio.com HTTPS:443 Das Azure Policy-Add-On, das Telemetriedaten an den Application Insights-Endpunkt sendet.

Erforderliche FQDN-/Anwendungsregeln für Microsoft Azure, betrieben von 21Vianet

FQDN Port Zweck
data.policy.azure.cn HTTPS:443 Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden.
store.policy.azure.cn HTTPS:443 Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet.

Für Azure US Government benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
data.policy.azure.us HTTPS:443 Diese Adresse wird verwendet, um die Kubernetes-Richtlinien abzurufen und den Konformitätsstatus des Clusters an den Richtliniendienst zu melden.
store.policy.azure.us HTTPS:443 Diese Adresse wird zum Abrufen der Gatekeeper-Artefakte integrierter Richtlinien verwendet.

Add-On für die AKS-Kostenanalyse

Benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
management.azure.com
management.usgovcloudapi.net (Azure Government)
management.chinacloudapi.cn (Azure, betrieben von 21Vianet)
HTTPS:443 Erforderlich für Kubernetes-Vorgänge für die Azure-API.
login.microsoftonline.com
login.microsoftonline.us (Azure Government)
login.microsoftonline.cn (Azure, betrieben von 21Vianet)
HTTPS:443 Erforderlich für die Authentifizierung von Microsoft Entra ID

Clustererweiterungen

Benötigte FQDNs/Anwendungsregeln

FQDN Port Verwendung
<region>.dp.kubernetesconfiguration.azure.com HTTPS:443 Diese Adresse wird verwendet, um Konfigurationsinformationen aus dem Clustererweiterungsdienst abzurufen und den Erweiterungsstatus an den Dienst zu melden.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Diese Adresse ist erforderlich, um Containerimages für die Installation von Clustererweiterungs-Agents aus dem AKS-Cluster zu pullen.
arcmktplaceprod.azurecr.io HTTPS:443 Diese Adresse ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen aus dem AKS-Cluster zu pullen.
arcmktplaceprod.centralindia.data.azurecr.io HTTPS:443 Diese Adresse ist für den regionalen Datenendpunkt in Zentralindien und wird benötigt, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster zu beziehen.
arcmktplaceprod.japaneast.data.azurecr.io HTTPS:443 Diese Adresse ist für den regionalen Datenendpunkt Ostjapan und wird benötigt, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster zu beziehen.
arcmktplaceprod.westus2.data.azurecr.io HTTPS:443 Diese Adresse gilt für den regionalen US2-Datenendpunkt „Westen“ und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen.
arcmktplaceprod.westeurope.data.azurecr.io HTTPS:443 Diese Adresse gilt für den regionalen Endpunkt für westeuropäische Daten und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen.
arcmktplaceprod.eastus.data.azurecr.io HTTPS:443 Diese Adresse gilt für den regionalen Ost-US-Datenendpunkt und ist erforderlich, um Containerimages für die Installation von Marketplace-Erweiterungen auf dem AKS-Cluster abzurufen.
*.ingestion.msftcloudes.com, *.microsoftmetrics.com HTTPS:443 Diese Adresse wird verwendet, um Agent-Metrikdaten an Azure zu senden.
marketplaceapi.microsoft.com HTTPS: 443 Diese Adresse wird verwendet, um eine benutzerdefinierte meterbasierte Nutzung an die E-Commerce-Verbrauchs-API zu senden.

Für Azure US Government benötigte FQDNs/Anwendungsregeln

FQDN Port Zweck
<region>.dp.kubernetesconfiguration.azure.us HTTPS:443 Diese Adresse wird verwendet, um Konfigurationsinformationen aus dem Clustererweiterungsdienst abzurufen und den Erweiterungsstatus an den Dienst zu melden.
mcr.microsoft.com, *.data.mcr.microsoft.com HTTPS:443 Diese Adresse ist erforderlich, um Containerimages für die Installation von Clustererweiterungs-Agents aus dem AKS-Cluster zu pullen.

Hinweis

Für alle Add-Ons, die hier nicht explizit angegeben sind, decken die Kernanforderungen dies ab.

Nächste Schritte

In diesem Artikel haben Sie gelernt, welche Ports und Adressen zugelassen werden müssen, wenn Sie den ausgehenden Datenverkehr für den Cluster einschränken möchten.

Informationen zur Einschränkung der Kommunikation zwischen Pods sowie zu Ost-West-Datenverkehrseinschränkungen innerhalb des Clusters finden Sie unter Sicherer Datenverkehr zwischen Pods durch Netzwerkrichtlinien in Azure Kubernetes Service (AKS).